MarsSnake Backdoor

ថ្មីៗនេះ អ្នកជំនាញ Infosec បានបង្ហាញនូវយុទ្ធសាស្ត្ររបស់ក្រុម Hacking តម្រឹមចិន ដែលត្រូវបានគេស្គាល់ថា UnsolicitedBooker ។ តួអង្គគម្រាមកំហែងនេះបានកំណត់គោលដៅលើអង្គការអន្តរជាតិដែលមិនបញ្ចេញឈ្មោះនៅក្នុងប្រទេសអារ៉ាប៊ីសាអូឌីតដោយប្រើ backdoor មិនស្គាល់ពីមុនហៅថា MarsSnake ។ សកម្មភាពរបស់ពួកគេមានរយៈពេលជាច្រើនឆ្នាំ ដោយបង្ហាញពីចំណាប់អារម្មណ៍ជានិរន្តរភាពចំពោះគោលដៅពិសេសនេះ។

Spear-Phishing with a Twist: សំបុត្រហោះហើរជានុយ

វិធីសាស្ត្រជ្រៀតចូលរបស់ក្រុមនេះពឹងផ្អែកយ៉ាងខ្លាំងលើអ៊ីមែលដែលបន្លំដោយលំពែង។ អ៊ីមែលទាំងនេះច្រើនតែរួមបញ្ចូលសំបុត្រយន្តហោះជាការបញ្ឆោតដើម្បីទាក់ទាញជនរងគ្រោះឱ្យបើកឯកសារភ្ជាប់ដែលគំរាមកំហែង។ គោលដៅគឺជាអង្គការរដ្ឋាភិបាលជាចម្បងនៅទូទាំងអាស៊ី អាហ្វ្រិក និងមជ្ឈិមបូព៌ា។ ការប្រើប្រាស់របស់អ្នកវាយប្រហារលើការទាក់ទាញដែលទាក់ទងនឹងការហោះហើរធ្វើឱ្យការប៉ុនប៉ងបន្លំរបស់ពួកគេជាពិសេសទាក់ទាញ និងកែតម្រូវ។

ស្គាល់ Malware Arsenal និងអត្តសញ្ញាណត្រួតស៊ីគ្នា។

ការវាយប្រហាររបស់ UnsolicitedBooker ត្រូវបានសម្គាល់ដោយការដាក់ពង្រាយ backdoors ល្បីៗជាច្រើន រួមទាំង៖

• Chinoxy
• DeedRAT
• ថ្នាំពុល Ivy
• បេរ៉ាត

ឧបករណ៍មេរោគទាំងនេះត្រូវបានភ្ជាប់ជាទូទៅទៅនឹងក្រុមចារកម្មតាមអ៊ីនធឺណិតរបស់ចិន។ លើសពីនេះទៅទៀត UnsolicitedBooker ចែករំលែកលក្ខណៈជាមួយក្រុមមួយទៀតដែលមានឈ្មោះថា Space Pirates និងក្រុមដែលមិនស្គាល់អត្តសញ្ញាណដែលបានប្រើ backdoor ហៅថា Zardoor ប្រឆាំងនឹងអង្គការមិនរកប្រាក់ចំណេញអ៊ីស្លាមនៅក្នុងប្រទេសអារ៉ាប៊ីសាអូឌីត។

ការវិភាគយុទ្ធនាការចុងក្រោយ៖ ការដាក់ពង្រាយ MarsSnake Backdoor

យុទ្ធនាការថ្មីបំផុតចុះថ្ងៃទី ខែមករា ឆ្នាំ 2025 សំដៅទៅលើអង្គការអារ៉ាប៊ីសាអូឌីតដូចគ្នា។ ការវាយប្រហារនេះជាប់ពាក់ព័ន្ធនឹងអ៊ីមែលបន្លំបន្លំធ្វើជាក្រុមហ៊ុនអាកាសចរណ៍ Saudia ជាមួយនឹងឯកសារភ្ជាប់ការកក់ជើងហោះហើរ។ ព័ត៌មានលម្អិតសំខាន់ៗរួមមាន:

• ឯកសារភ្ជាប់ ៖ ឯកសារ Microsoft Word ក្លែងធ្វើជាសំបុត្រយន្តហោះ
• ប្រភពដើមនៃសំបុត្របញ្ឆោត ៖ កែប្រែពី PDF ដែលមានជាសាធារណៈនៅលើគេហទំព័រចែករំលែកការស្រាវជ្រាវរបស់ Academia
• ដំណើរការឆ្លង ៖ ការបើកឯកសារ Word បង្កឱ្យមានម៉ាក្រូ VBA ដែលសរសេរឯកសារដែលអាចប្រតិបត្តិបាន (smssdrvhost.exe) ទៅកាន់ប្រព័ន្ធរបស់ជនរងគ្រោះ។
• មុខងារដែលអាចប្រតិបត្តិបាន ៖ ដើរតួជាអ្នកផ្ទុកសម្រាប់ MarsSnake ដែលជា backdoor ដែលទើបរកឃើញថ្មី

ការប៉ុនប៉ងឈ្លានពានម្តងហើយម្តងទៀតក្នុងឆ្នាំ 2023, 2024, និង 2025 រំលេចយុទ្ធនាការផ្តោតលើ UnsolicitedBooker ប្រឆាំងនឹងអង្គការនេះ។

MarsSnake: ឧបករណ៍ដ៏មានឥទ្ធិពលនៅក្នុងក្រុម Arsenal របស់ UnsolicitedBooker

MarsSnake គឺជា backdoor ដែលមានលក្ខណៈពិសេសពេញលេញដែលផ្តល់ឱ្យអ្នកវាយប្រហារគ្រប់គ្រងយ៉ាងសំខាន់លើម៉ាស៊ីនដែលមានមេរោគ។ វាអនុញ្ញាតការប្រតិបត្តិនៃពាក្យបញ្ជាបំពាន និងការចូលដំណើរការអាន/សរសេរឯកសារដែលមិនមានការរឹតបន្តឹង។ Backdoor រក្សាទំនាក់ទំនងជាមួយម៉ាស៊ីនមេបញ្ជា និងបញ្ជា (C&C) ដើម្បីទទួលបានការណែនាំ។ រហូតមកដល់ពេលនេះ MarsSnake ហាក់ដូចជាត្រូវបានប្រើប្រាស់ផ្តាច់មុខដោយ UnsolicitedBooker ដោយសម្គាល់ថាវាជាឧបករណ៍ហត្ថលេខារបស់តួអង្គគំរាមកំហែងនេះ។